一个令人警惕的消息：Windows Defender 的三个权限提升漏洞已在真实攻击中被大规模利用。攻击者甚至无需自行编写代码，直接从 GitHub 公开仓库获取了 PoC（概念验证）漏洞利用代码，并直接针对企业内网发起攻击。

这一切始于 2026 年 4 月 2 日，一位化名 Nightmare‑Eclipse（也被称为 Chaotic Eclipse）的安全研究员，因与微软安全响应中心（MSRC）在漏洞披露流程上发生分歧，直接将一个名为 BlueHammer 的利用工具发布到 GitHub 上。该漏洞随后被微软认定为 CVE‑2026‑33825，本质上是一个零日漏洞。它利用了 Windows Defender 签名更新工作机制中的 TOCTOU（检查时间与使用时间）竞争条件，结合路径混淆技术，使得低权限的本地用户能够在完全打完补丁的 Windows 10/11 系统上瞬间获得 SYSTEM 权限。

漏洞利用技术剖析

这种攻击手法是如何实现的？它绕过了内核漏洞和内存破坏等传统路径，而是巧妙地利用了 Defender 的文件修复逻辑、NTFS 连接点、Windows 云文件 API 以及机会锁（oplocks）之间的交互关系。在 BlueHammer 发布后不久，Nightmare‑Eclipse 又相继推出了两种新的攻击工具：RedSun（能够在 Windows 10/11 和 Server 2019 上提权至 SYSTEM，并且在 4 月补丁星期二之后依然有效）和 UnDefend（通过破坏 Defender 的更新机制，逐步削弱其防护能力）。

Huntress 确认实际攻击活动

Huntress 研究团队在实际环境中捕获了真实案例——攻击者将这三招组合运用。恶意载荷被放置在低权限用户目录下，尤其是 Pictures 文件夹和 Downloads 目录中的两位字母子文件夹。文件名与原始 PoC 仓库中的完全一致：FunnyApp.exe 和 RedSun.exe，部分样本被重命名为 z.exe。

2026 年 4 月 10 日，Huntress 监测到一次 BlueHammer 攻击执行的路径：
C:\Users\[REDACTED]\Pictures\FunnyApp.exe

Windows Defender 实时拦截并隔离了文件，标记为 Exploit:Win32/DfndrPEBluHmrBZ（严重级别）。从检测到隔离，只用了两分钟。

2026 年 4 月 16 日又记录了一起攻击事件：
C:\Users\[REDACTED]\Downloads\RedSun.exe

这次触发的是 Virus:DOS/EICAR_Test_File 警报——这实际上是 RedSun 设计的一部分：利用 EICAR 测试文件引诱 Defender 实时引擎进入一个可被操控的“检测‑修复”循环。同时，监测到一个次级进程 Undef.exe 以 ‑agressive 参数运行，作为 Explorer.EXE 下 cmd.exe 的子进程启动，被 ThreatOps Hunting 规则标记为高风险。

值得注意的是，两次攻击尝试都伴随了手动枚举命令：

• whoami /priv—— 枚举当前用户权限
• cmdkey /list—— 识别存储凭据
• net group—— 映射 Active Directory 组成员关系

这种攻击前的侦察行为强烈表明，攻击者是有针对性的熟练对手，而非那些随机扫描的自动脚本小子。

补丁状态与缓解措施

微软已于 2026 年 4 月补丁星期二更新中修复了 CVE‑2026‑33825（BlueHammer），但 RedSun 和 UnDefend 截至目前仍未获得补丁。换言之，数百万 Windows 系统仍面临风险。安全团队需立即采取行动：

• 部署所有 2026 年 4 月的 Windows 安全更新
• 监控用户可写目录（如 Pictures、Downloads 的子文件夹）中未签名的可执行文件
• 对非管理进程投放 EICAR 测试文件的行为设置警报
• 在终端遥测数据中追踪 whoami /priv、cmdkey /list 和 net group 的执行链
• 实施最小权限原则，限制漏洞利用所需的本地访问路径